APP安全之通信安全（下篇） - VSRC

2022-12-15 14:07:02 253

APP安全之通信安全（下篇）

既然APP通信存在诸多安全问题，那么究竟如何才能提高APP的通信安全呢？

对数据做HASH加密校验

（1）在so文件中进行HASH校验，即KEY+parameters，当然也会对KEY进行混淆，但KEY保存在APP本地迟早是要泄露，更好的做法是使用动态KEY。

（2）有效利用APP的签名证书，服务器端使用该证书的私钥加密动态KEY发送到客户端，客户端使用从本地APP中获取到的公钥信息解密得到KEY，然后进行签名。

（3）重打包过的APP，获取到的公钥信息与官方APP不同，就无法解密得到动态KEY，从而可以在一定程度上预防重打包。当然实现上需要注意，如图6为获取APP公钥信息的函数。

（4）若在需要动态KEY的地方调用该函数，重打包时只需要修改该函数返回值，就可以被绕过，正确做法应该如图7所示。在APP的多个功能处使用本地公钥信息，可以一定程度解决重打包风险。

所以，在APP通信安全方面，应优选SSL Pinning方式的HTTPS的传输和动态获取KEY方式的完整性校验。

点击以下链接，查看完整内容：

http://mp.weixin.qq.com/s?__biz=MzI5ODE0ODA5MQ==&mid=2652277120&idx=1&sn=ece9ce6624b141a305aa8a7f7a9f068d#rd